Персональные данные третьих лиц

Question

[Александр]

Доброй ночи.
Задумал реализовать одну идею, и если не вдаваться в детали, один человек может отправить другому при помощи веб-сервиса обычное бумажное письмо. В этой идее меня беспокоит вопрос выполнения требований 152-ФЗ: Адрес и ФИО получателя, по факту, являются персональными данными. В законе черным по белому написано, что для обработки ПД необходимо писменное согласие субъекта. Но его даже теоретически не получить, ведь отправляет письмо совсем другой человек. Именно он вводит адрес и получателя, т.е. фактически передает мне ПД другого человека.

Как быть с данным вопросом с юридической точки зрения? Есть ли способ каким-то образом сделать такой сервис белым и пушистым для Регулятора?

Answer 1

[Андрей]

В новой версии Закона о персональных данных (от июля 2011 года) если лицо «А» (не важно юридическое или физическое) поручает Вам обработку персональных данных лица «Б», то именно лицо «А» ответственно за то, что оно имеет разрешение от лица «Б» на передачу его данных Вам.

Вы при этом являетесь «обработчиком ПДн», а лицо «А» — «оператором ПДн».

Части 3, 4, 5 статьи 6-ой (новой редакции):

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Comments

[Александр]

Спасибо, очень интересный нюанс

[Александр]

Т.е. мне в оферте нужно обозначить, что отправитель является оператором ПД получателя. И соответственно обеспечить соответствие требованиям к ИСПД.

[Андрей]

На мой взгляд, это был бы самый простой для Вас путь.

[msuhanov]

Этот трюк не сработает, поскольку физическое лицо не может являться оператором, если оно обрабатывает персональные данные исключительно для личных или семейных нужд, т. к. такие действия не регулируются ФЗ «О персональных данных» (пункт 1 части 2 статьи 1 этого ФЗ). Если физическое лицо обрабатывает персональные данные как оператор (т. е. не в рамках личных или семейных нужд), то оно должно получать согласие субъектов персональных данных, за исключением предусмотренных законом случаев.

[Андрей]

А я бы посмотрел на это с другой стороны: имеет ли отправитель устное/письменное/конклюдентное согласие получателя — это проблема отправителя, а не автора системы. Так что автор системы по такой схеме именно закроется от Регулятора, вписав в договор фразу вида «Отправитель гарантирует, что распоряжается персональными данными получателя на законных основаниях и имеет право поручать их обработку сайту».

[msuhanov]

Да, это не проблема автора системы. Но это именно проблема оператора системы, поскольку ФЗ «О персональных данных» обязывает операторов проверять полномочия таких вот представителей субъектов персональных данных (и иметь соответствующие доказательства).

[Александр]

А если стать «подрядчиком» компании, имеющей лицензию на почтовые услуги?

Answer 2

[Loreweil]

1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.
2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)
3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?
4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.

Comments

[LastDragon]

> 1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие»

Это в корне НЕВЕРНО. Если это «данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни» и т.д. (см. текст закона) то для их обработки нужно ПИСЬМЕННОЕ согласие

[Loreweil]

Надо было видимо оговориться, что речь шла о случае описанном в топике. Конечно же, согласно 10 и 11 статьи 152-ФЗ, специальные и биометрические ПДн обрабатываются только с письменного согласия субъекта.

Answer 3

[kimssster]

Есть такой термин — «когнитивное согласие». Если те субъекты ПДн передают лицу, отправляющему ПДн Вам, для определенных целей, услуг и т.д, а Вы не можете с них взять согласие на обработку, то подразумевается, что они сами согласны на это. Пример: в организацию удаленно обращается человек с описанием проблемы, содержащей ПДн, даже к1, организация не может взять с субъекта согласие, но по своему уставу обязано эти данные принять и обработать. Вот здесь и вступает в силу когнитивное согласие.

Comments

[Александр]

А это юридический термин или психологический?

[kimssster]

Я это применял на практике в выше описанной ситуации. Такое решение было выработано совместно с лицензиатом — интегратором и их юристами. У РКН вопросов не было. И пока ничего не поменялось насколько я знаю, просто уже не там тружусь.

[Андрей]

Мне кажется, Вы имеете в виду все-таки «конклюдентное согласие».

P.S. И в описанном выше вопросе это решает только проблему персональных данных отправителя, но не решает проблему персональных данных получателя.

[Андрей]

P.P.S. Я знаю много случаев успешного прохождения проверок на базе конклюдентного согласия, но у нас в фирме «перестраховываются» и берут письменное. Благо, с клиентом общение происходит лично.

[kimssster]

Вы правы, автозамены в worde до добра не доведут, безусловно я имел ввиду «конклюдентное согласие». Как раз при личной подаче заявлений, сведений взять письменное согласие не было проблемой. Но если человек живет за 500 км это проблематично. Еще интересный вопрос категорирования, ведь оператор не знает какие сведения могут содержаться при удаленном общении. В итоге даже при отсутствии информации к1, ИСПДн все ранво имеет класс к1.

[Александр]

Видимо, мне нужны услуги юриста, хорошо знакомого с данной тематикой. Джентльмены, вы совершенно случайно таких не оказываете? :) Или можете кого-то посоветовать?

[Александр]

Тут еще такой момент, возможно данная идея попадает под определение почтовых услуг, однако я не смог найти определение «почтовых услуг», только перечень лицензионных условий. И судя по лицензионным условиям, нужно реально быть как минимум федеральной курерской службой со своей логистикой и полным спектром услуг чтобы соблюдать лицензию. Это совсем не то что мне нужно, я фактически выступаю посредником между отправителем и Почтой России. Могут ли «наехать» за нелицензированную деятельность?

[Андрей]

Я не юрист, хотя на меня постоянно пытаются «взвалить» и юридическую составляющую процесса исполнения 152-ФЗ.
Попробуйте вступить в переписку с Алексеем Волковым: anvolkov.blogspot.ru/ или Дмитрием Кузнецовым: malotavr.blogspot.ru/. Они оба — весьма увлекающиеся нестандартными ситуациями в 152-ФЗ люди и серьезные специалисты, на письма отвечают охотно и дружелюбно.

[kimssster]

Под почтой подразумевается, что вы указывая адреса отправителя и получателя на конверте идентифицируете их, поэтому «2. Согласие не требуется для осуществления почтовых отправлений», но вот какая информация внутри конверта, это уже другое дело.

[msuhanov]

Обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора (часть 3 статьи 9 ФЗ «О персональных данных»). Полномочия представителя субъекта персональных данных должны проверяться оператором (часть 1 этой же статьи). А значит двумя словами «конклюдентное согласие» здесь не прикрыться.

Answer 4

[Андрей Буров]

Письменное не нужно.

Answer 5

[LastDragon]

> Адрес и ФИО получателя, по факту, являются персональными данными.

Именно получатель должен будет разрешить вам обрабатывать свои данные. Если честно как сомнительно что кто-то на это согласится («разреши левому сайту хранить свои ПД и получи письмо счастья», я бы послал :) )

> В законе черным по белому написано, что для обработки ПД необходимо писменное согласие субъекта.

Письменное согласие необходимо только для некоторых категорий ПД (для них в законе это явно указано).

Answer 6

[msuhanov]

Как быть с данным вопросом с юридической точки зрения? Есть ли способ каким-то образом сделать такой сервис белым и пушистым для Регулятора?

Нет.

Пункт 2 части 1 статьи 6 ФЗ «О персональных данных» допускает обработку персональных данных лица без его согласия в целях, предусмотренных законами. Одним из таких законов является ФЗ «О почтовой связи». Во второй статье этого закона определено понятие адресных данных пользователей услуг почтовой связи (ФИО, почтовый адрес), а в статье 21 закреплено, что в случае неточности или неполноты адресных данных почтовое отправление возвращается отправителю. Т. е. суть почтовой связи, определенная в ФЗ «О почтовой связи», требует обработки персональных данных получателей почтовых отправлений, причем такая обработка, будучи регламентированной на уровне федерального закона, не требует согласия получателя в соответствии с вышеуказанным положением ФЗ «О персональных данных» (то же, кстати, касается и персональных данных отправителя почтового отправления).

Однако деятельность по оказанию услуг почтовой связи, как и связи в целом, является лицензируемой (пункт 36 части 1 статьи 12 ФЗ «О лицензировании отдельных видов деятельности»). Ваш проект не удовлетворяет критериям деятельности в области почтовой связи, поскольку не предусматривает создание единого производственно-технологического комплекса средств, обеспечивающего передачу почтовых отправлений (см. определение почтовой связи в статье 2 ФЗ «О почтовой связи»). А значит «индульгенция» на обработку персональных данных из ФЗ «О почтовой связи» на Вас распространяться не будет.

А значит никак :-)

Comments

[Александр]

К таким умозаключениям я и сам уже пришел, спасибо. Но ответ «никак» меня сами понимаете не устраивает. Работают же компании с аналогичными сервисами. Тот же NETPRINT, например, позволяет фотопродукцию отправлять по почте. «Все нарушают», хотите сказать?

[msuhanov]

Если они отправляют заказы своим же клиентам, то никаких нарушений нет. Клиент сам дает согласие на обработку собственных персональных данных. Если клиент отправляет заказ другому лицу, то отправитель за это ответственности не несет, поскольку закон требует исходить из добросовестности поведения сторон договора (часть 3 статьи 10 ГК РФ).

[Александр]

Т.е. грубо говоря можно в тексте договора, который никто не читает, написать что Клиент обязуется отправлять письма только себе и Компания не несет ответственности за пересылку третьим лицам?

[msuhanov]

Если Ваш сервис для этого и предназначен, то да.

В противном случае такой договор будет характеризовать притворную сделку (часть 2 статьи 170 ГК РФ), которая по закону ничтожна. И ответственность за нарушение порядка обработки персональных данных будет лежать на Вас, поскольку «к сделке, которую стороны действительно имели в виду, с учетом существа сделки, применяются относящиеся к ней правила» (та же норма).

[Александр]

Максим, я вижу вы собаку съели на этом вопросе. Как насчет рассмотреть задачу не со стороны «почему это нельзя» а со стороны «как сделать чтоб было можно»?